關鍵React漏洞給全球網路基礎設施帶來壓力

執行摘要

在世界上最流行的 JavaScript 函式庫之一的核心部分 React Server Components 中，發現了一個嚴重的遠端程式碼執行（RCE）漏洞，編號為 CVE-2025-55182。該漏洞的 CVSS 嚴重性評級為最高 10.0，這意味著極高風險，因為它允許未經身份驗證的攻擊者在受影響的伺服器上執行任意程式碼。該漏洞的影響範圍廣泛，影響了 Next.js 等主要框架，並且根據安全公司 Wiz 的研究，估計存在於 39% 的雲端環境中。這引發了軟體行業緊急、廣泛的修補工作，以減輕重大的供應鏈威脅。

事件詳情

該漏洞存在於 React 解碼和反序列化發送到 React Server Function 端點的資料負載的方式中。攻擊者可以精心製作一個惡意 HTTP 請求，當伺服器處理該請求時，會導致遠端程式碼執行。這允許在沒有任何身份驗證的情況下完全接管系統。該漏洞由安全研究員 Lachlan Davidson 發現，並於一個週六報告給 Meta，補丁在接下來的週三開發並發布——如此迅速的周轉時間凸顯了其被認為的嚴重性。

由於其依賴於易受攻擊的 React 元件，流行的 Next.js 框架也受到影響，其維護者 Vercel 發布了單獨的諮詢 (CVE-2025-66478) 並立即發布了補丁。該漏洞影響多個版本的 React 套件以及廣泛的依賴框架，包括 React Router、Waku 以及來自 Vite 和 Parcel 的打包工具。

市場影響

CVE-2025-55182 的發現暴露了現代軟體供應鏈中根深蒂固的深層系統性風險。React 是數百萬網路應用程式的基礎，包括 Netflix、Shopify 和 Walmart 等主要上市公司使用的應用程式。直接影響包括：

營運中斷：公司必須投入大量資源立即稽核其環境並應用補丁，這可能導致昂貴的停機或服務降級。
漏洞利用風險升高：雲端環境中 39% 的暴露率表明存在巨大的攻擊面。成功的漏洞利用可能導致災難性的數據洩露、公司機密的竊取以及客戶數據洩露。
財務成本：修復成本，加上成功攻擊可能造成的潛在財務和聲譽損失，對受影響的企業構成了實質性風險。該事件再次強調了對開源軟體依賴的高度風險性。

專家評論

安全專家對所需的緊迫性毫不含糊。watchTowr 首席執行官 Ben Harris 表示，漏洞利用不是「是否會發生」，而是「何時發生」的問題：

對這個漏洞做出如此謹慎回應的原因是，漏洞利用是不可避免的。我們應該預期攻擊者會真正立即開始利用這個漏洞。

Rapid7 的高級首席研究員 Stephen Fewer 也表達了同樣的觀點，他警告了潛在的損害：

如果系統中存在訪問金鑰或其他秘密或敏感資訊等內容，那麼對該系統上儲存的資源的影響可能是毀滅性的。

Wiz 的威脅情報主管 Amitai Cohen 強調了規模，提供了關鍵指標：「我們的數據顯示，這些函式庫可以在大約 39% 的雲端環境中找到易受攻擊的版本。」

更廣闊的背景

這個關鍵的 React 漏洞並非孤立事件，而是核心數位基礎設施中一系列令人擔憂的漏洞模式的一部分。最近，在 OpenAI 的 Codex CLI 中發現了一個類似的遠端程式碼執行漏洞，該漏洞可能允許攻擊者將程式碼儲存庫變成持久性後門。同時，美國網路安全和基礎設施安全局 (CISA) 已就 Android 中的關鍵漏洞發出警告， urging users of Samsung 和 Pixel 設備用戶立即更新或停止使用它們。

總而言之，這些事件說明了開放原始碼庫、人工智慧開發工具和行動作業系統等多方面的安全挑戰。對於企業而言，它凸顯了對強大的漏洞管理以及對軟體和硬體生態系統中根深蒂固的依賴關係的清晰理解的迫切需求。假設基礎技術的安全性已經過時。